Пароль был найден через считанные часы после того, как компания Symantec опубликовала просьбу о помощи с расшифровкой. В самой компании до этого безуспешно пытались получить пароль методом грубой силы. Хэш — 27934e96d90d06818674b98bec7230fa, как выяснилось, соответствует паролю 900gage!@#.
Flame был обнаружен в конце апреля, и владельцы зараженных компьютеров начали удалять его. В мае шпион также начал заметать следы путем самоуничтожения. Однако, как считают исследователи, могут существовать еще неизвестные варианты Flame. В отчете Symantec утверждается, что серверами Flame управляла высокоорганизованная группа специалистов — админы серверов; операторы, обменивавшиеся данными с зараженными машинами; и координаторы, планировавшие атаки. Все передачи шифровались. Командная система программы представляет собой веб-приложение на PHP под названием Newsforyou с базой MySQL.
Есть свидетельства того, что шпионская операция, осуществляемая с применением Flame, несмотря на деактивацию вируса, все еще продолжается, утверждают в Symantec.